Survei Synopsys mengungkapkan bahwa sebagian besar organisasi secara sadar menerapkan aplikasi yang rentan karena tekanan waktu

shahadat-rahman-BfrQnKBulYQ-unsplash

Ringkasan editor: Synopsys, salah satu vendor keamanan siber terkemuka di dunia, telah menerbitkan sebuah ebook tentang “keamanan pengembangan aplikasi modern”. Dalam ebook tersebut, vendor merinci survei keamanan siber dan profesional appdev yang dilakukan oleh ESG, dan menunjukkan bahwa hampir setengah (48%) responden secara sadar menyebarkan kode rentan ke pasar karena keterbatasan waktu. Rilis berita vendor ada di bawah.

Studi DevSecOps Menemukan bahwa Hampir Separuh Organisasi Secara Sadar Menyebarkan Aplikasi yang Rentan Karena Tekanan Waktu

Studi yang dilakukan oleh firma analis ESG mengeksplorasi tren dan tantangan keamanan yang muncul dalam pengembangan aplikasi modern

SINGAPURA, @mcgallen #microwireinfo, 12 Agustus 2020: Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis EBook "Keamanan Pengembangan Aplikasi Modern". Berdasarkan survei profesional keamanan siber dan pengembangan aplikasi yang dilakukan oleh Enterprise Strategy Group (ESG), eBook menyoroti sejauh mana tim keamanan memahami praktik pengembangan dan penerapan modern, dan di mana kontrol keamanan diperlukan untuk menurunkan risiko. Studi ini menemukan bahwa hampir setengah (48%) dari responden survei secara sadar memasukkan kode rentan ke produksi karena tekanan waktu. Studi ini juga mengidentifikasi bahwa integrasi yang melengkapi pengembangan aplikasi kecepatan tinggi adalah yang paling penting, menurut 43% responden, untuk meningkatkan program keamanan aplikasi.

“DevSecOps telah menggerakkan bagian depan dan tengah keamanan dalam dunia perkembangan modern; namun, tim keamanan dan pengembangan didorong oleh metrik yang berbeda, membuat penyelarasan tujuan menjadi menantang, ”kata Dave Gruber, Analis Senior ESG. “Ini semakin diperburuk oleh fakta bahwa sebagian besar tim keamanan kurang memahami praktik pengembangan aplikasi modern. Perpindahan ke arsitektur yang digerakkan oleh layanan mikro dan penggunaan kontainer serta arsitektur tanpa server telah mengubah dinamika cara developer membuat, menguji, dan menerapkan kode. ”

Synopsys menugaskan ESG, analis TI terkemuka dan organisasi penelitian, untuk mendokumentasikan wawasan tentang dinamika antara tim pengembangan dan tim keamanan siber sehubungan dengan penerapan dan pengelolaan solusi keamanan aplikasi. ESG mensurvei 378 profesional cybersecurity yang memenuhi syarat dengan wawasan dan tanggung jawab untuk teknologi pengembangan aplikasi keamanan, dan profesional pengembangan aplikasi yang terlibat dengan pengamanan alat dan proses pengembangan. Responden survei bekerja di organisasi di berbagai vertikal industri termasuk manufaktur, layanan keuangan, konstruksi / teknik, dan layanan bisnis, antara lain di seluruh Amerika Serikat dan Kanada.

"Wawasan utama yang diidentifikasi dalam studi ini menggarisbawahi fakta bahwa organisasi perlu menangani keamanan aplikasi secara holistik sepanjang siklus hidup pengembangan," kata Patrick Carey, Direktur Pemasaran Produk untuk Grup Integritas Perangkat Lunak Synopsys. “Dari organisasi yang secara sadar mendorong kode rentan ke dalam produksi, 45% melakukannya karena kerentanan yang teridentifikasi ditemukan terlambat dalam siklus untuk menyelesaikannya tepat waktu. Ini menegaskan kembali pentingnya pengalihan keamanan yang tersisa dalam proses pengembangan, memungkinkan tim pengembangan dengan pelatihan berkelanjutan serta solusi perkakas yang melengkapi proses mereka saat ini sehingga mereka dapat membuat kode dengan aman tanpa berdampak negatif pada kecepatan mereka. ”

Wawasan utama dari penelitian ini meliputi:

  • Sebagian besar organisasi percaya bahwa program keamanan aplikasi mereka efektif, meskipun banyak yang masih mendorong aplikasi yang rentan ke dalam produksi. Enam puluh sembilan persen responden survei menilai keefektifan program mereka saat ini sebagai 8 atau lebih tinggi pada skala 0 sampai 10 (dengan 10 adalah yang paling efektif). Namun, karena hampir setengah dari organisasi secara sadar mendorong kode rentan secara teratur, sebagian besar telah mengalami eksploitasi aplikasi produksi yang melibatkan 10 kerentanan OWASP Teratas dalam 12 bulan terakhir.
  • Integrasi DevOps adalah elemen penting untuk peningkatan. Lebih dari seperempat responden mengatakan bahwa alat keamanan aplikasi mereka saat ini menambah gesekan dan memperlambat siklus pengembangan, sementara 23% mengidentifikasi integrasi yang buruk dengan alat pengembangan / DevOps sebagai tantangan umum. Selain itu, 26% responden mencatat kesulitan dengan atau kurangnya integrasi antara alat vendor keamanan aplikasi yang berbeda sebagai tantangan keamanan aplikasi yang umum.
  • Pengembang memainkan peran penting dalam keamanan aplikasi, tetapi mereka kurang memiliki keterampilan dan pelatihan. Hampir sepertiga (29%) responden menyatakan bahwa pengembang dalam organisasi mereka tidak memiliki pengetahuan untuk mengurangi masalah yang diidentifikasi oleh alat keamanan aplikasi mereka saat ini. Selain itu, hanya 17% yang mengatakan bahwa pengembang mereka menggunakan pelatihan tepat waktu yang tersedia dalam alat keamanan mereka dan hanya 29% yang diharuskan untuk berpartisipasi dalam pelatihan setidaknya sekali per kuartal.
  • Organisasi berencana meningkatkan pengeluaran keamanan aplikasi. Lebih dari setengah (51%) responden melaporkan rencana untuk peningkatan signifikan dalam pengeluaran keamanan aplikasi selama 12 bulan ke depan. Empat puluh empat persen berencana menargetkan investasi keamanan aplikasi ke cloud.
  • Perkembangan alat AppSec mendorong banyak organisasi untuk berinvestasi dalam konsolidasi.Banyak organisasi berjuang untuk mengintegrasikan dan mengelola sejumlah alat yang ada, sering kali mengarah pada penurunan efektivitas program keamanan mereka sementara juga mengarahkan sejumlah besar sumber daya untuk mengelolanya. Dengan 70% memanfaatkan lebih dari sepuluh alat, kompleksitas menjadi masalah utama, dan akibatnya, lebih dari sepertiganya memfokuskan investasi pada konsolidasi.

Untuk mempelajari lebih lanjut, unduh salinan EBook "Keamanan Pengembangan Aplikasi Modern", daftar untuk bulan September kami webinar, atau baca baru kami posting blog menyoroti temuan survei.

Tentang Grup Integritas Perangkat Lunak Synopsys

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #